Matriz RACI

Asignación de Roles y Responsabilidades en el SGSI.

Ejemplo Práctico: Gestión de Incidentes

Vista de Auditoría

Actividad / Rol	CISO	IT Ops	Legal	CEO
Contención del Incidente	A	R	-	I
Análisis Forense	A	R	C	-
Notificación Regulatoria	R	-	A	I

Reglas de Oro para el Examen

Una sola "A": Si una tarea tiene más de un Accountable, nadie es dueño del riesgo. Es el error más común en gobernanza.
A ≠ R (Idealmente): El que rinde cuentas debe supervisar al que ejecuta.
Minimizar "C": Demasiada consulta paraliza la respuesta ante incidentes.

¿Por qué es vital para el CISM?

La Matriz RACI asegura que la Accountability esté asignada. Previene que los riesgos queden "huérfanos" sin un dueño que tome decisiones sobre su tratamiento.

"El CISM puede no ser siempre el Responsible, pero suele ser el Accountable de la estrategia de seguridad."